Требования к отдельным типам СЗИ
МЭ
2016
Система сертификации ФСТЭК России
Сертификация ФСТЭК России подтверждает соответствие СЗИ обязательным требованиям по защите информации. Регулятор контролирует безопасность и качество решений, применяемых в государственных информационных системах, а также отвечает за разработку нормативных правовых актов, национальных стандартов и методических документов в сфере ИБ
Участники процесса сертификации :
Разработчик (заявитель)
- имеет лицензию на разработку средств защиты информации
- опционально: наличие сертификата соответствия процессов безопасной разработки
- опционально: наличие сертификата соответствия системы менеджмента качества (соответствие ISO 9001)
- заключает договор с испытательной лабораторией
Испытательная лаборатория
- проводит испытания средств защиты информации в соответствии с требованиями
- должна быть из числа аккредитованных
- специалисты ИЛ должны быть аттестованы
- выбирается разработчиком
- как правило, лаборатория помогает определить тип СЗИ, составить перечень необходимых требований и сформировать заявку на сертификацию
Орган по сертификации
- проверяет протоколы испытаний, оформленные лабораторией
- назначается ФСТЭК России
ФСТЭК России
- принимает решение о проведении сертификации
- выдает (отказывает в выдаче) сертификата соответствия
Техническая защита конфиденциальной информации
Разработчику необходимо наличие лицензии на деятельность, связанную с защитой конфиденциальной информации
Требования ФСТЭК России по сертификации
Общие требования по сертификации (Требования доверия, 2020)
Уровень доверия СЗИ
6 уровень
5 уровень
4 уровень
3 уровень
2 уровень
1 уровень
Класс защиты СЗИ
6 класс
5 класс
4 класс
3 класс
2 класс
1 класс
Класс защищенности ГИС
3 класс
2, 3 классы
1 класс
Применяются в информационных системах, содержащих информацию, составляющую государственную тайну
Уровень защищенности ПД
3, 4 классы
2 класс
1 класс
Класс защищенности АСУ ТП
3 класс
2 класс
1 класс
Класс защищенности ЗО КИИ
3 класс
2 класс
1 класс
6 уровень
5 уровень
4 уровень
3 уровень
2 уровень
1 уровень
6 класс
5 класс
4 класс
3 класс
2 класс
1 класс
Применяются в информационных системах, содержащих информацию, составляющую государственную тайну
3 класс
2, 3 классы
1 класс
3, 4 классы
2 класс
1 класс
3 класс
2 класс
1 класс
3 класс
2 класс
1 класс
Сертификация процессов безопасной разработки
В соответствии с
Положением 55
Приказ № 55 от 03.04.2018
(Положение о системе сертификации СЗИ) , если разработчик вносит следующие изменения в сертифицированное СЗИ: добавление новых функций безопасности или изменения в имеющиеся функции безопасности информации, то
(Положение о системе сертификации СЗИ) , если разработчик вносит следующие изменения в сертифицированное СЗИ: добавление новых функций безопасности или изменения в имеющиеся функции безопасности информации, то
П. 71 Положения 55
Необходимо привлечение испытательной лаборатории
для проведения повторных испытаний СЗИ
для проведения повторных испытаний СЗИ
П. 71.1 Положения 55
В случае наличия у разработчика сертификата соответствия РБПО, разрешается проводить испытания без привлечения испытательной лаборатории
Требования по безопасности информации, устанавливающие уровни доверия
Требования к разработке и производству
- Разработка модели безопасности
- Проектирование архитектуры безопасности
- Разработка функциональной спецификации
- Проектирование средства
- Разработка проектной (программной) документации
- Средства разработки, применяемые
для создания средства - Управление конфигурацией
- Разработка документации по безопасной разработке
- Разработка эксплуатационной документации
Требования к проведению испытаний
- Тестирование средства
- Испытания по выявлению уязвимостей
и недекларированных возможностей - Проведение анализа скрытых каналов
Требования к поддержке безопасности
- Устранение недостатков
- Обновление
- Документирование процедур устранения
недостатков и обновления - Информирование об окончании производства
и (или) поддержки безопасности
Методика выявления уязвимостей
и недекларированных возможностей в ПО
и недекларированных возможностей в ПО
Утверждена ФСТЭК России 25 декабря 2020 года.
По данной Методике испытательной лабораторией осуществляется проверка ПО на наличие уязвимостей
и недекларированных возможностей. В Методике 6 уровней контроля для соответствия 6 уровням доверия.
и недекларированных возможностей. В Методике 6 уровней контроля для соответствия 6 уровням доверия.
Методика содержит следующие проверки:
- Анализ документации и иных исходных данных
- Подготовка исследовательского стенда
- Анализ состава модулей, конфигураций и интерфейсов
- Анализ безопасности на основе открытых источников
- Статический анализ исходного кода
- Тестирование модулей
- Фаззинг-тестирование
- Системное тестирование
- Экспертиза участков исходного/восстановленного кода